Ransomware is één van de grootste gevaren van het moment, juist omdat de gijzelsoftware zo effectief is. Gelukkig zijn er dingen die je kunt proberen als je slachtoffer wordt, waardoor je heel misschien zelfs je bestanden weer terugkrijgt.

Door Tijs Hofmans

Bij ransomware worden je bestanden versleuteld, en de manier om ze weer te ontsleutelen is meestal om het losgeld te betalen. Maar niet altijd! Er zijn manieren om je bestanden op andere manieren terug te krijgen. Zelfs als dat lukt, is het belangrijk de juiste stappen te volgen zodat je niet nóg een keer geïnfecteerd raakt. We laten je in dit artikel precies zien wat je moet doen als je slachtoffer wordt van ransomware.

Keep calm
ransomware timerHet belangrijkste om te doen als je bestanden ineens versleuteld zijn is om rustig te blijven. Sommige vormen van ransomware laten een dreigende aftelklok zien waarmee de criminelen je proberen over te halen zo snel mogelijk te betalen (omdat na een bepaald aantal uur je bestanden bijvoorbeeld definitief verwijderd worden), maar neem vooral geen overhaaste beslissingen. Blijf kalm en bekijk je situatie. Welke ransomware heb je? Wat is de schade? Kun je de ransomware verwijderen, of ben je misschien beter af je verlies te erkennen?

Daarnaast is het slim om alle internetkabels uit je pc te trekken. Sommige ransomware kan zich namelijk via het netwerk verspreiden naar andere apparaten, zoals een paar weken geleden gebeurde met de beruchte WannaCrypt-ransomware. Zo kun je ook backups op je netwerkschijf verliezen.

Bekijk het probleem
Zoek eerst uit waar je precies door bent getroffen. Ransomwaremakers laten altijd een 'losgeldbrief' achter waarin staat hoeveel je moet betalen en waar je het geld (meestal in bitcoins) naar moet overmaken. Vaak is dat een .txt-bestand dat in Mijn Documenten of op het bureaublad wordt geplaatst, of de bureaubladachtergrond wordt gewijzigd.

Welke ransomware?
atlasIn de losgeldbrief staat vaak de naam van de ransomware waardoor je bent getroffen. Als dat niet zo is, kun je ook proberen of je de letterlijke tekst kunt googlen (zet het "tussen haakjes" voor betere resultaten!), of je kunt kijken naar de bestandsextensie die je versleutelde files nu hebben gekregen. Document1.ATLAS wijst dan bijvoorbeeld op de Atlas-ransomware.

Ontsleutelen, of je verlies erkennen?
Nu je weet waar je precies mee te maken hebt, kun je op zoek gaan naar meer informatie. Dat is belangrijk om je volgende stap te bepalen. Sommige ransomware is namelijk te ontsleutelen met gratis tools van beveiligingsbedrijven. Andere keren kun je echter beter je verlies erkennen en je systeem schoonvegen, en hopen dat je niet nog eens slachtoffer wordt. En in sommige gevallen kun je overwegen te betalen, hoewel dat strikt wordt afgeraden omdat hiermee de cybercriminelen krijgen wat ze hebben willen en je het system hiermee in stand houdt.

Kijk eerst wat je op internet kunt vinden over de ransomware. Als je geluk hebt kun je veel leren over het virus waardoor je bent getroffen, bijvoorbeeld of er een ontsleuteltool bestaat. Kijk bijvoorbeeld eens op No More Ransom, een samenwerking tussen de politie en verschillende beveiligingsbedrijven. Wanneer de politie een ransomwarebende oprolt, maken bedrijven zoals Kaspersky of McAfee daar een ontsleuteltool voor waarmee slachtoffers hun bestanden terug kunnen krijgen. Op de website staat een aantal tools die je gratis kunt downloaden om je bestanden te ontsleutelen. Als een tool niet op No More Ransom beschikbaar is, kun je ook altijd nog verder googlen om te kijken je die ergens anders wel kunt vinden.

Virusscan
Als het je lukt om met een versleuteltool je bestanden terug te krijgen is het nog wel belangrijk dat je na afloop een virusscanner over je systeem draait. Vaak blijft de ransomware nog ergens achter op je systeem en kan die op een later moment wéér toeslaan. Windows Defender werkt vaak goed, maar Malwarebytes is een prima gratis alternatief. Naast een virusscanner is het ook slim om je computer terug te zetten naar een herstelpunt, als je dat hebt.

Backups terugzetten
Als er geen ontsleuteltool voorhanden is voor de ransomware waardoor je bent getroffen, is het het slimst om je backups terug te zetten - als je die tenminste hebt. Verderop op deze webpagina staan een paar handige tips over het maken en bewaren van goede backups. Windows heeft handige tools ingebouwd waarmee je makkelijk backups kunt maken en ook weer terug kunt zetten.

Betalen of niet?
bitcoin 250Er is nog een andere, ietwat controversiële oplossing: je kunt overwegen het losgeld te betalen. Het verdienmodel van ransomware draait namelijk voor een deel om de betrouwbaarheid van de hackers. Als je weet dat je je bestanden terugkrijgt, bijvoorbeeld omdat dat bij andere slachtoffers ook gebeurt, ben je sneller geneigd te betalen. Zelfs de politie geeft toe dat de kans redelijk groot is dat je bestanden worden ontsleuteld als je het losgeld betaalt, hoe zuur dat ook is.

Het is onmogelijk te zeggen of je je bestanden terug krijgt, maar soms is de kans groter dan andere keren. Uit een recent onderzoek van Norton bleek dat de kans gemiddeld zo'n 40 procent dat een individu zijn bestanden weer terug krijgt, al verschilt dat cijfer per soort ransomware. Het slimst is om te googlen naar de naam van de ransomware. Je komt dan al snel op forums waar ervaringen van andere slachtoffers staat. Als het om nieuwe ransomware gaat, kun je die ook bewaren en even wachten tot er meer informatie bekend is. Je hebt helaas nooit de garantie dat betalen effectief is - je hebt immers te maken met criminelen…

Uiterste redmiddel
Betalen moet je alleen doen als uiterste redmiddel, en alleen als je écht vindt dat het de moeite waard is. Als je het doet, moet dat meestal met bitcoins. Die zijn moeilijk te traceren en daarom aantrekkelijk voor crimineel geld. Wie googlet naar het kopen van bitcoins, vindt al snel tientallen bitcoin-banken ('exchanges') met duidelijke stappenplannen voor het kopen van de digitale munt. Ook het betalen van het losgeld is niet moeilijk - er staat vaak een uitgebreide instructie in de losgeldbrief.

Puntjes op de i
Werkt dat allemaal niet, of ben je (terecht!) niet bereid te betalen? Dan hebben we slecht nieuws voor je: je bent waarschijnlijk je bestanden kwijt. Ransomware is nu eenmaal een hardnekkig probleem en is het beste te bestrijden met goede voorbereiding, want slachtoffers krijgen hun bestanden lang niet altijd terug.

Toch zijn er nog een paar dingen die je nu kunt doen. Sla de versleutelde bestanden op een usb-stick op. Misschien komt er in de toekomst alsnog een ontsleuteltool uit waarmee je de bestanden terug kunt krijgen. Ook is het slim hier alsnog je pc naar een herstelpunt terug te zetten en een virusscan te draaien zodat de ransomware echt van je systeem wordt verwijderd en niet later nog eens terug komt.

Voorkomen beter dan genezen
Uiteindelijk blijft een goede voorbereiding de beste remedie tegen ransomware. Leer daarom phishingmails te herkennen, installeer een goede virusscanner, en zorg dat je altijd goed werkende backups hebt. Een gewaarschuwd mens telt immers voor twee!

 

Veilig backups maken

De beste manier om te beschermen tegen ransomware is door backups te maken, maar doe dat wel goed! Hier zijn een paar handige tips:

  1. Maak ze regelmatig
    Een valkuil bij het maken van backups is dat je ze regelmatig moet maken, anders kun je veel recente bestanden verliezen. Het is daarom slim om backups automatisch te maken, bijvoorbeeld wekelijks of maandelijks. Windows heeft een ingebouwde tool om dat te doen.
  2. Bewaar backups offline
    Sommige ransomware kan zich via het netwerk verspreiden naar netwerkschijven of andere computers. Bewaar backups dus niet alleen op je NAS, maar ook offline.
  3. Test je backups regelmatig
    Weinig dingen zijn zo naar als ontdekken dat de backups die je hebt gemaakt helemaal niet werken. Controleer daarom regelmatig of je backups wel goed zijn. Is je harde schijf niet beschadigd? Kun je de bestanden gewoon openen? Werkt de backup-software allemaal nog? Heb je wel de juiste bestanden?
  4. Scan je systeem voor je ze terugzet
    Zorg dat je eerst je systeem scant met een virusscanner of een herstelpunt terugzet voor je je backups gebruikt. Als de ransomware nog ergens op je systeem staat kun je namelijk ook je backups kwijt raken, en dat wil je natuurlijk niet hebben!
   

Doe aangifte!

Het is belangrijk dat je altijd aangifte doet als je slachtoffer bent geweest van ransomware, ook als je je bestanden terug hebt gekregen met een decryptor of als je juist betaald hebt. Je bent immers slachtoffer van een misdrijf!

Aangifte doen heeft een paar voordelen. Ten eerste krijgt de politie een goed beeld van hoe groot het ransomwareprobleem is, en dat zorgt er in de toekomst voor dat er meer geld kan naar cybercriminaliteit. Maar het kan ook zijn dat je je bestanden kunt terugkrijgen wanneer de politie de verspreiders oppakt en de servers in beslag neemt.

Veel slachtoffers zijn bang dat ze in de problemen komen omdat ze hebben betaald, maar dat is niet waar.
Als slachtoffer ben je zelf niet schuldig.